Від $250K за баг у Chrome до зламу Zcash: як AI змінів ринок баг-баунті 

Раніше, щоб знайти критичний баг у великій системі, потрібні були місяці активного ресерчу та сотні чашок кави. Тепер виплати у рамках баг баунті отримує навіть 13-річний підліток з AI-агентом за пару вечорів пошуку вразливостей. Ринок змінився так швидко, що індустрія ще не встигла це осмислити до кінця. 

У матеріалі розібрали, як нейронки змінили правила гри в кібербезпеці і чому це однаково важливо і для тих, хто захищає системи, і для тих, хто шукає вразливості.

Що таке bug bounty

Баг-баунті — програми, де компанії платять стороннім дослідникам за знайдені вразливості у продуктах. Логіка проста: краще віддати $10 000 «білому хакеру», ніж дізнатись про дірку від зловмисника, який уже скористався нею. Чим критичніша вразливість — тим вища виплата. 

Перша формальна bug bounty з’явилась у 2004 році — Mozilla платила дослідникам $500 за вразливості у Firefox. Google запустила аналогічну програму у 2010-му, і з тих пір виплатила $81,6 млн. Сьогодні великі компанії змагаються за увагу дослідників так само, як за інженерів. 

У 2025 році Google виплатив рекордні $17,1 млн 747 дослідникам — приріст 45% до 2024. Найбільший разова виплата — $250 000 за sandbox escape у Chrome.

Microsoft паралельно виплатила $17 млн 344 дослідникам з 59 країн, найбільший чек — $200 000. Meta — $4 млн у 2025, загалом $25 млн з 2011. Apple подвоїла топ-виплати до $2 млн у жовтні 2025 і спрямувала $35 млн з моменту запуску програми у 2020 році.

Крім офіційних програм, існує і сірий ринок — Zerodium платив $1-3 млн на місяць за придбання вразливостей для урядових клієнтів. У 2025 компанія закрилась. Але підпільний ринок вразливостей нікуди не зник — просто став менш публічним.

Паралельно зі зростанням виплат за баги збільшується і складність. Баги у ядрі Chrome або iOS тепер рідко знаходять випадково. Це системна робота з глибоким знанням архітектури, яка може займати місяці. 

Трансформація ринку баг баунті

Нейронки знизили поріг входу до мінімуму. Раніше треба було роками вивчати архітектуру і перебирати десятки гіпотез. Тепер AI береться за рутинну частину — сканує код, шукає патерни, а дослідник перевіряє результат. Перші AI-інструменти для пошуку багів з’явились у 2023-2024 роках, але більше серйозне застосування почалося у 2025. 

Mozilla використала Claude Mythos Preview і знайшла більше 270 дірок, як пізніше виправила у Firefox. Cloudflare тестували Mythos на живому коді критичної інфраструктури.

Anthropic протестував своїх агентів на 405 смарт-контрактах. Агенти зламали 51% і симульовано вкрали $4,6 млн. Ефективність подвоюється кожні 1,5 місяці, а вартість атак впала на 70% за 6 місяців. Баг-хантінг стає дешевшим, швидшим і доступнішим для всіх.

Один з найгучніших кейсів з пошуку багів через нейронки стався у 2026 році. 29 травня спеціаліст з кібербезпеки Тейлор Хорнбі використав Claude Opus 4.8 для перевірки приватного пулу транзакцій криптовалюти Zcash. За один день він знайшов те, що чотири роки не помічала команда з сотень людей. 

Вразливість дозволяла непомітно друкувати фальшиві монети ZEC. Розробник написав експлойт і протестував його в локальному середовищі — гіпотеза підтвердилася. 

ZODL закрив вразливість 2 червня. Але сам баг існував з травня 2022 — чотири роки. Розробники кажуть, що навряд чи хтось міг знайти баг раніше, Але довести це неможливо.

Квітень 2026 став рекордним місяцем крипто-зламів — близько 30 експлойтів, $600+ млн втрат. Через тиждень після того, як Zcash закрили вразливість, американський уряд наказав Anthropic вимкнути Fable 5 і Mythos 5 по всьому світу — офіційно через нацбезпеку.

Ще AI-агент від стартапу Anatomist Security автономно знайшов критичну вразливість у блокчейні Solana і отримав $400 000 bug bounty — одну з найбільших виплат в історії для штучного інтелекта. 

У травні 13-річний підліток знайшов критичну помилку в механізмі верифікації даних через Claude у блокчейні TON і отримав $4 000. В TON Core зазначили, що до них вже приходили звіти з помилками, знайденими через LLM і що дослідник отримав велику кількість хибнопозитивних результатів, які довелось перевіряти вручну. 

Підсумки

Компаніям доведеться прийняти нову реальність: чекати поки дослідники знайдуть баг і прийдуть за виплатою недостатньо. Якщо підліток за пару вечорів знаходить критичну вразливість у блокчейні — зловмисники можуть зробить те саме, тільки мовчки. 

Єдине рішення — вкладати більше в превентивне тестування власними силами і обов’язково підключати для задачі передові нейронки. AI не замінює дослідника — він бере на себе частину рутини і робить аудит доступним для юзерів з будь-яким рівнем технічних знань.